API REST

Connaissances en développement Web: JavaScript / HTTP / HTML

Découvrir les bonnes pratiques d'architecture et de design d'APIs RESTful. - Découvrir les menaces auxquelles s'exposent vos API. - Découvrir les vulnérabilités les plus fréquentes. - Savoir repérer les points faibles d'une API. - Savoir corriger les vulnérabilités et développer de façon sécurisée.

Découvrir les APIs REST

RESTful API: origine, définition et principes fondamentaux
Richardson Maturity Model
Contrainte de l'architecture REST (HATEOAS, Semantic Web)

Adopter les bonnes pratiques dans la construction d’une API

Conventions de nommage
Base URL
Gestion des types de Media
Versioning
Propriété id
Polymorphisme
Gestion des dates
Association de ressources
Présentation des standards

Atelier: panorama des standards disponibles

Concevoir et tester une API REST

Spécification OpenAPI (Swagger)
Utilisation de Swagger Editor
Outils de debug et de test: Postman, SoapUI REST, Katalon Studio,...
Mocking de RESTful API avec Sandbox
Générateur de données JSON(JSON Generator)
Générateur de service (JSON Server)

Atelier: Conception d'une API avec Swagger – Mocking - Utilisation de Postman pour les tests.

Sécuriser une API RESTful

Etudes des menaces et des impacts sur l'API
Standards de sécurité
OWASP TOP 10
Gestion de l'authentification
Quid sur les cookies
Gestion des Cross-origin
CSRF (Cross-Site Request Forgery)
Anti-farming et rate-limiting (ou throttling)
Gestion des permissions
Authentification OAuth2
OpenID Connect
Canonicalization, Escaping et Sanitization
Protection contre l'injection
Gestion du Data or Cache Poisoning
Contrer le ReDoS

Atelier: Utilisation de Websheep pour l'étude de plusieurs vulnérabilités d'API (authentification/autorisation).

Crypter les messages

JavaScript Objet Signing and Encryption (JOSE)
JSON Web Tokens (JWT): principe et vulnérabilités

Atelier: Intégration de JOSE ou de JWT dans une API – démonstration de vulnérabilités

API Management

Apports d'une solution d'API Management
Panorama d'outils: Apigee, 3scale, IBM API Management, Akana, Kong Enterprise, Dell Boomi, Mashery

Atelier: Test d'une solution d'API Management

Méthodologie basée sur l'Active Learning : 75% de pratique minimum. Chaque point théorique est systématiquement suivi d'exemples et exercices.

Contrôle continu

Attestation de fin de stage mentionnant le résultat des acquis